VPN без мифов: как он работает на самом деле

В кафе рядом со мной парень подключился к открытому Wi‑Fi, открыл банковское приложение и спокойно ушёл за кофе. А сеть называется «Free_WiFi_NoPassword». Я не параноик, но в таких местах рука сама тянется включить VPN.

Суть простая: в публичной сети вы делите эфир с незнакомыми людьми. Даже если сайты у вас на HTTPS, остаются DNS, метаданные, попытки подмены трафика в приложениях, которые экономили на защите, и просто факт того, куда вы ходили. VPN закрывает большую часть этой поверхности атаки, но не превращает вас в невидимку.

Это не магия.

Публичный Wi‑Fi и чужие глаза

Когда вы без VPN открываете что угодно, у вас есть цепочка: телефон или ноутбук → роутер в кафе → провайдер этой точки → дальше интернет. Если на пути кто-то решит «посмотреть», он хотя бы увидит, какие домены вы запрашиваете (через DNS), куда уходят подключения и сколько трафика льётся. Иногда этого достаточно, чтобы собрать профиль, а иногда и чтобы вмешаться.

VPN меняет ровно один кусок цепочки: между вашим устройством и сервером VPN появляется шифрованный туннель. Владелец Wi‑Fi и местный провайдер видят, что вы общаетесь с одним адресом (сервером VPN), и видят объём трафика. Содержимое не видят.

Дальше уже сервер VPN выходит «в обычный интернет» вместо вас, под своим IP.

Что именно делает VPN (и чего не делает)

Я часто вижу одно и то же ожидание: «включил VPN, значит, меня нельзя отследить вообще». Нет. VPN решает сетевые задачи, а не задачи вашей цифровой личности.

Вот короткий список, чтобы не путаться:

• VPN шифрует трафик между устройством и сервером VPN, что особенно полезно в чужих сетях.
• VPN меняет ваш внешний IP для сайтов и сервисов, пока вы через него ходите.
• VPN обычно подменяет DNS (если настроен нормально), чтобы запросы не утекали мимо туннеля.
• VPN не спасает, если вы сами вошли в аккаунт, включили синхронизацию в браузере и оставили везде один и тот же номер телефона.

И ещё один момент, который раздражает на практике: VPN не делает плохой интернет хорошим. Если у вас в метро скачет связь и идёт потеря пакетов, лишний «хоп» до сервера VPN добавит задержку. Иногда это терпимо, иногда бесит.

Как устроен «туннель» под капотом

На стороне пользователя работает клиент (приложение). На стороне сервиса есть серверы, которые принимают ваши подключения, шифруют и расшифровывают трафик, и выпускают его наружу. Между ними протокол.

Самый понятный пример из повседневной жизни инженера: WireGuard. Он работает поверх UDP (обычно), быстро поднимает соединение, неплохо живёт на мобильных сетях и, что важно, редко жрёт батарею так, как это умеют старые решения при плохой связи. В идеальных условиях разницу вы не заметите. В реальных (переходы LTE ↔ Wi‑Fi, сон телефона, «залипание» сети) поведение протокола решает больше, чем красивые обещания на лендинге.

Есть и другой пласт технологий, который часто всплывает у людей, кому важна устойчивость к блокировкам: VLESS+REALITY, Shadowsocks-2022, старый добрый OpenVPN, а кто-то до сих пор использует IKEv2 из-за встроенной поддержки в iOS и Windows. На Android вы встретите V2RayNG и NekoBox, на iOS часто упоминают Shadowrocket, на десктопах живут Hiddify и разные сборки вроде Streisand (скорее как набор для развёртывания, но его имя до сих пор мелькает в разговорах).

Если коротко, набор выглядит так:

• WireGuard (обычно самый «приземлённый» вариант для скорости и батареи)
• OpenVPN (гибкий, но может быть тяжелее)
• IKEv2 (удобен на мобильных, особенно с автоподключением)
• Shadowsocks-2022 (скорее прокси, но в быту часто называют «как VPN»)
• VLESS+REALITY (про устойчивость к фильтрации и маскировку)

Пользовательскому опыту всё равно, что внутри. Ему важно, чтобы соединение поднималось быстро, не отваливалось при закрытии крышки ноутбука и не ломало половину приложений из-за странного DNS.

Кстати о DNS. Многие «у меня VPN, но всё равно что-то не работает» упираются в две вещи: утечки DNS и кривое разруливание IPv6. Хороший клиент должен уметь аккуратно направлять DNS в туннель и не оставлять системе лазеек. Если сервис даёт внятное описание этих механизмов, это хороший знак. У DuduVPN, например, на странице возможностей сервиса нормально объяснены базовые вещи вроде защиты трафика и настроек подключения, без магии и мистики.

Скорость, батарея и другие неприятные мелочи

Скорость с VPN почти всегда падает. Не потому что «плохой VPN», а потому что у вас появляется дополнительная точка: нужно шифровать, расшифровывать и ехать до сервера, который может быть в другой стране.

Задержка (пинг) растёт по двум причинам: расстояние и обработка пакетов. Если вы играете в онлайн-шутеры, сервер VPN в соседнем регионе часто лучше, чем «самый дальний, зато красивый IP». Для видеозвонков в Telegram и Zoom важнее стабильность и отсутствие потерь пакетов. Тут иногда выигрывает не самая быстрая локация, а та, где меньше перегруза вечером.

С батареей всё ещё проще: постоянный туннель держит радиомодуль в активности, особенно если сеть плохая и начинаются переподключения. На Android помогает режим «всегда включён VPN» плюс запрет подключения без него, но тогда нужно быть готовым, что при сбое сервера интернет просто пропадёт до переподключения. Это честное поведение, просто не всем подходит.

Ещё одна штука, о которую спотыкаются: split tunneling (раздельное туннелирование). Когда вы хотите, чтобы рабочие сервисы шли через VPN, а локальные устройства типа принтера или умного дома оставались в обычной сети. На Windows и Android это часто решается в приложении. На OpenWrt можно настроить маршрутизацию на уровне роутера, но там уже начинается любимое хобби «вечер за таблицами маршрутов».

Если что-то не сходится (например, включили VPN, а приложения банка ругаются на подозрительную активность), полезно заглянуть в вопросы и ответы. Иногда проблема вообще не в VPN, а в том, что приложение ловит смену региона или требует заново пройти проверку.

Выбор сервиса: на что я смотрю

У меня критерии приземлённые, без романтики.

Первое: нормальные приложения под iOS, Android, macOS и Windows, чтобы не приходилось объяснять родственникам, что такое конфигурационный файл и почему его нельзя терять. Если вы ставите VPN на роутер (OpenWrt, Keenetic, MikroTik), важна понятная инструкция и поддержка протокола, который там реально работает, а не «на бумаге поддерживаем всё».

Второе: предсказуемость. Мне важнее, чтобы соединение держалось часами и нормально переживало сон ноутбука, чем рекордные замеры в один идеальный вечер. Хорошие сервисы обычно показывают понятную географию серверов и не прячут базовую информацию.

Третье: честные настройки. Kill switch, выбор локации, понятные подсказки по протоколам. И отсутствие «странных бонусов» вроде встроенных ускорителей всего на свете.

И да, цена тоже фактор. Я смотрю не на минимальную цифру, а на то, насколько удобно платить и что входит. У DuduVPN страница тарифов и оплаты сделана без сюрпризов: видишь срок, видишь стоимость, понимаешь, что покупаешь.

Если нужен вариант без возни

Если хочется просто поставить приложение, выбрать локацию и жить, я бы смотрел в сторону DuduVPN как на рабочий «повседневный» вариант. А если удобнее всё оформить в пару сообщений, у них есть Telegram бот.

Проверяйте DNS.

После установки включите VPN, откройте в браузере dnsleaktest.com и убедитесь, что запросы уходят туда, куда вы ожидаете, а не к вашему провайдеру.